登録済みデータ ソースで同じ LDAP スキームを使用してユーザを認証するように指示するには、Single Sign-On 設定ツールを使用します。 Single Sign-On 設定ツールでは、CA サーバを LDAP サーバに安全に接続できるようにするパラメータを指定できます。 設定ツールを使用すると、LDAP カタログのユーザと、CA Performance Center 内の事前定義済みユーザ アカウントまたはカスタム ユーザ アカウントのいずれかを関連付けることもできます。
GSSAPI などの認証メカニズムを使用している場合、LDAP 認証を有効にするための手順はわずかに異なります。 認証メカニズムを使用しない場合、LDAP サーバにバインドするためにサービス アカウントを使用する必要があります。 このアカウントには、LDAP サーバを読み取りおよび検索できるアクセス権が必要です。 接続ユーザの完全な DN (識別名)を提供する必要があります。また、[ユーザ バインド]パラメータを有効にする必要があります。
Single Sign-On は、[接続ユーザ]および[接続パスワード]パラメータに指定された認証情報を使用して、LDAP サーバにバインドします。 その後、Single Sign-On は、[検索文字列]パラメータに指定された文字列に基づいてディレクトリ検索を実行します。 検索結果には、ユーザの DN が含まれます。 Single Sign-On は、この DN とパスワードを使用して LDAP サーバへの 2回目のバインドを実行します。
重要: 認証メカニズムが使用されない場合、LDAP サーバへの SSL 接続を確立することを強く推奨します。 そうしないと、パスワードはクリア テキストで LDAP サーバに送信されます。
次の手順に従ってください:
ルートとしてログインするか、または「sudo」コマンドでログインします。
[InstallationDirectory]/CA/PerformanceCenter
オプションを選択するように促されます。 利用可能なオプションは、ローカル サーバ上で実行される CA アプリケーションに対応します。
オプションを選択するように促されます。
優先度を指定するように促されます。
[優先度]パラメータは CA Performance Center のみに適用されます。
管理者のみが変更できる設定を参照します。 そのような設定は、CA Performance Center のこのインスタンスに登録された他のすべての CA 製品に継承されます。 対応する[ローカル上書き]値が存在しない場合、[リモート値]設定のみが使用されます。
すべての製品に対して変更できる設定を参照します。 [ローカル上書き]値が存在する場合、[リモート値]とデフォルト設定のいずれよりも優先されます。
設定するプロパティを選択するように促されます。
LDAP サーバに接続するためにログイン サーバが使用するユーザ ID (この場合、サービス アカウントのユーザ ID)を定義します。 この LDAP ユーザ名は、サーバにバインドするために使用されます。
重要: GSSAPI などの認証メカニズムを使用していない場合、このパラメータには、LDAP サーバの読み取りおよび検索アクセス権を持つサービス アカウントが必要です。
ログイン サーバで LDAP サーバへの接続に使用するパスワードを定義します。
例: ログイン サーバで固定されたアカウントを使用する場合は、以下の例のようなテキストを入力します。
SomePassword
LDAP プロトコル、サーバおよび初期検索ドメインを示します。 また、ユーザ アカウント認証情報を確認するときに、検索の開始場所が識別されます。 文字列内でサーバの後にポート番号を指定しない場合、ポート 389 が使用されます。
例:
Active Directory を QASG.local として設定する場合、検索ドメイン文字列は次のようになります。
LDAP://qasg.local/dc=qas,dc=local
LDAP サーバへの SSL 接続を確立する場合(認証メカニズムを使用していない場合は強く推奨します)、これらの手順に従います。
LDAPS://srv:636/CN=Users,DC=company,DC=local
ユーザの正しいレコードを検索するために使用する条件を指定します。 [検索範囲]パラメータと共に動作します。 LDAP ユーザのサブセットのみがログインできるようにする場合は、検索文字列を使用して、レコード内の複数のプロパティを検索できます。 このパラメータの値には、任意の有効な LDAP 検索条件を含めることができます。
例:
(saMAccountName={0})
ユーザの正しいレコードを検索するために使用する条件を指定します。 [検索文字列]パラメータと共に使用されます。 LDAP サーバがユーザ アカウントに対して実行する検索の範囲を決定します。 以下の値のいずれかを入力します。
現在のディレクトリを検索に含めます。 現在のディレクトリでオブジェクトと一致し、ディレクトリ内でさらに予期しない一致が生じないようにします。
すべてのサブディレクトリを検索に含めます。 ほとんどのインストール環境にお勧めします。
検索をベース オブジェクトに制限します。
指定した認証情報を検証するために、ユーザの識別名(DN)およびパスワードを使用して追加の認証ステップ(バインド)を実行するかどうかを指定します。
重要: 手順 1 および 2 でサービス アカウントを入力した場合、このパラメータを有効に設定する必要があります。
デフォルト: 無効。
LDAP サーバに再度バインドするときに使用する認証メカニズムを指定します。
デフォルト: Simple
指定可能な値: Simple、GSSAPI、DIGEST-MD5
グループ メンバシップのない検証済みの LDAP ユーザをマップする CA Performance Center デフォルト アカウントを指定します。 [アカウント パスワード]パラメータと共に動作します。 有効なユーザがグループ定義に一致しない場合、このパラメータに対して指定されたデフォルト ユーザ ID でログインされます。
すべてのユーザが自分のユーザ名でログインできるようにするには、以下のように入力します。
注: [アカウント ユーザ]パラメータは、このユーザ用のディレクトリ エントリからのフィールドに対応します。 通常、値はユーザの検索フィルタに一致します。
検証済みの LDAP ユーザが、[グループ]パラメータに指定されていないグループのメンバである場合、クローンを作成するユーザ アカウントを指定します。
例: そのようなユーザに最小の権限を付与する場合は、「user」を入力します。
注: 既存のユーザ アカウントが必要です。
選択したユーザ アカウントまたはアカウントのグループに対して処理するデフォルト アカウントを決定できます。
例: グループのすべてのメンバが管理者アカウントを使用してログインできるようにするには、以下のように入力します。
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
設定ツールが閉じます。
設定の例
|
Copyright © 2013 CA.
All rights reserved.
|
|